Owah-owahan ala dideteksi ing paket NPM node-ipc (CVE-2022-23812), kanthi kemungkinan 25% yen isi kabeh file sing duwe akses nulis diganti karo karakter "❤️". Kode angkoro diaktifake mung nalika diluncurake ing sistem kanthi alamat IP saka Rusia utawa Belarus. Paket node-ipc duwe sekitar yuta undhuhan saben minggu lan digunakake minangka ketergantungan ing 354 paket, kalebu vue-cli. Kabeh proyek sing duwe node-ipc minangka dependensi uga kena pengaruh masalah kasebut.
Kode angkoro dikirim menyang repositori NPM minangka bagéan saka node-ipc 10.1.1 lan 10.1.2 rilis. Owah-owahan ala dikirim menyang repositori Git proyek atas jenenge penulis proyek 11 dina kepungkur. Negara kasebut ditemtokake ing kode kanthi nelpon layanan api.ipgeolocation.io. Tombol sing diakses menyang ipgeolocation.io API saka embed angkoro saiki wis dicabut.
Ing komentar kanggo bebaya babagan munculé kode dubious, penulis proyek kasebut nyatakake yen owah-owahan kasebut nambahake file menyang desktop sing nampilake pesen sing njaluk perdamaian. Nyatane, kode kasebut nindakake telusuran rekursif direktori kanthi upaya kanggo nimpa kabeh file sing ditemoni.
Rilis saka node-ipc 11.0.0 lan 11.1.0 banjur dikirim menyang repositori NPM, sing ngganti kode angkoro sing dibangun kanthi ketergantungan eksternal, "peacenotwar," sing dikontrol dening penulis sing padha lan ditawakake kanggo dilebokake dening pengelola paket sing pengin. kanggo melu protes. Disebutake yen paket peacenotwar mung nampilake pesen babagan perdamaian, nanging kanthi njupuk tindakan sing wis ditindakake dening penulis, isi paket kasebut ora bisa ditebak lan ora ana owah-owahan sing ngrusak ora dijamin.
Ing wektu sing padha, nganyari kanggo cabang stabil node-ipc 9.2.2, sing digunakake dening project Vue.js, dirilis. Ing rilis anyar, saliyane peacenotwar, paket warna uga ditambahake menyang dhaptar dependensi, sing penulis nggabungake owah-owahan destruktif menyang kode ing Januari. Lisensi sumber kanggo rilis anyar wis diganti saka MIT dadi DBAD.
Wiwit tumindak penulis luwih ora bisa ditebak, pangguna node-ipc dianjurake kanggo ndandani dependensi ing versi 9.2.1. Sampeyan uga dianjurake kanggo ndandani versi kanggo pembangunan liyane dening penulis padha sing maintained 41 paket. Sawetara paket sing dikelola dening penulis sing padha (js-queue, easy-stack, js-message, event-pubsub) duwe sekitar yuta undhuhan saben minggu.
Tambahan: Usaha liyane wis direkam kanggo nambah tumindak menyang macem-macem paket mbukak sing ora ana hubungane karo fungsi langsung aplikasi lan disambungake menyang alamat IP utawa lokal sistem. Sing paling aman saka owah-owahan iki (es5-ext, rete, komposer PHP, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) godhok mudhun kanggo nampilake telpon kanggo mungkasi perang kanggo pangguna saka Rusia lan Belarus. Ing wektu sing padha, kawujudan sing luwih mbebayani uga diidentifikasi, contone, enkripsi ditambahake menyang paket modul AWS Terraform lan watesan politik diwenehake menyang lisensi kasebut. Firmware Tasmota kanggo piranti ESP8266 lan ESP32 nduweni tetenger sing bisa mblokir operasi piranti. Dipercaya manawa kegiatan kasebut bisa ngrusak kapercayan ing piranti lunak sumber terbuka.
Source: opennet.ru